የCanSecWest ኮንፈረንስ አካል ሆኖ በየዓመቱ የሚካሄደው የPwn2Own 2022 ውድድር የሶስት ቀናት ውጤቶች ተጠቃለዋል። ለኡቡንቱ ዴስክቶፕ፣ ቨርቹዋልቦክስ፣ ሳፋሪ፣ ዊንዶውስ 11፣ ማይክሮሶፍት ቡድኖች እና ፋየርፎክስ ከዚህ ቀደም ያልታወቁ ተጋላጭነቶችን ለመጠቀም የስራ ቴክኒኮች ታይተዋል። በአጠቃላይ 25 የተሳኩ ጥቃቶች የታዩ ሲሆን ሶስት ሙከራዎችም ሳይሳካ ቀርተዋል። ጥቃቶቹ የቅርብ ጊዜዎቹን የተረጋጋ የመተግበሪያዎች፣ አሳሾች እና ስርዓተ ክወናዎች በሁሉም የሚገኙ ዝመናዎች እና ነባሪ ውቅሮች ተጠቅመዋል። አጠቃላይ የተከፈለው ክፍያ 1,155,000 ዶላር ነበር።
ውድድሩ ቀደም ሲል ያልታወቁትን በኡቡንቱ ዴስክቶፕ በተለያዩ የተሳታፊዎች ቡድን የተካሄዱትን ተጋላጭነቶች ለመጠቀም አምስት የተሳኩ ሙከራዎችን አሳይቷል። በኡቡንቱ ዴስክቶፕ ውስጥ የአካባቢያዊ ልዩ መብት መሻሻልን በማሳየቱ አንድ የ$40 ሽልማት ተከፍሏል ባለሁለት ቋት ትርፍ እና ባለ ሁለት ነጻ ጉዳዮችን በመጠቀም። እያንዳንዳቸው 40 ዶላር የሚያወጡ አራት ሽልማቶች የተሸለሙት ከጥቅም-ነጻ ከጥቅም ውጪ የሆኑ ተጋላጭነቶችን በመጠቀም የልዩነት እድገትን በማሳየታቸው ነው።
የችግሩ ትክክለኛ አካላት ገና አልተገለፁም ፣ በውድድሩ ውል መሠረት ስለ ሁሉም የ 0 ቀን ተጋላጭነቶች ዝርዝር መረጃ የሚታተመው ከ 90 ቀናት በኋላ ብቻ ነው ፣ እነዚህም አምራቾችን የሚያስወግዱ ዝመናዎችን ለማዘጋጀት ይሰጣሉ ። ድክመቶች.
ሌሎች የተሳካላቸው ጥቃቶች፡-
- 100 ሺህ ዶላር ለፋየርፎክስ የብዝበዛ ልማት ፣ ይህም በልዩ ሁኔታ የተነደፈ ገጽ ሲከፍት ፣ ማጠሪያ ማግለልን ለማለፍ እና በሲስተሙ ውስጥ ኮድ ለማስፈፀም አስችሎታል።
- $40 እንግዳን ለመውጣት በOracle ቨርቹዋልቦክስ ውስጥ ቋት የሚበዛበትን ብዝበዛ ለማሳየት።
- አፕል ሳፋሪን ለማሰራት 50 ሺህ ዶላር (የመያዣ ትርፍ ፍሰት)።
- የማይክሮሶፍት ቲሞችን ለመጥለፍ 450ሺህ ዶላር (የተለያዩ ቡድኖች ለእያንዳንዳቸው 150ሺህ ሽልማት በማግኘት ሶስት ጠለፋዎችን አሳይተዋል።
- 80ሺህ ዶላር (ሁለት እያንዳንዳቸው የ40ሺህ ሽልማቶች) ቋት ሞልቶ በመፍሰሱ እና በማይክሮሶፍት ዊንዶውስ 11 ውስጥ ያለውን ልዩ መብቶችን በማሳደጉ።
- በማይክሮሶፍት ዊንዶውስ 80 ውስጥ ያለውን መብቶች ለመጨመር በመዳረሻ ማረጋገጫ ኮድ ውስጥ ያለ ስህተትን ለመጠቀም 40 ሺህ ዶላር (ሁለት እያንዳንዳቸው 11 ሺህ ሽልማቶች)።
- በማይክሮሶፍት ዊንዶውስ 40 ውስጥ ልዩ መብቶችን ለመጨመር ኢንቲጀር ሞልቶ ለመበዝበዝ 11ሺህ ዶላር።
- በማይክሮሶፍት ዊንዶውስ 40 ውስጥ ከጥቅም ውጪ የሆነ ተጋላጭነትን ለመበዝበዝ 11 ሺህ ዶላር።
- 75 ሺህ ዶላር በቴላ ሞዴል 3 የመረጃ ቋት ስርዓት ላይ ጥቃትን ያሳያል። ብዝበዛው ወደ ቋት ጎርፍ እና ድርብ ነጻ የሚወጣ ሳንካዎችን ተጠቅሟል።
የማይክሮሶፍት ዊንዶውስ 11ን (6 የተሳካላቸው ሃክ እና 1 ያልተሳካ)፣ ቴስላ (1 የተሳካ ሀክ እና 1 ያልተሳካ) እና የማይክሮሶፍት ቡድኖችን (3 የተሳካ hacks እና 1 ያልተሳካ) ለመጥለፍ የተለያዩ ሙከራዎች ተደርገዋል፣ነገር ግን አልተሳካም። በዚህ አመት በጎግል ክሮም ላይ ብዝበዛዎችን ለማሳየት ምንም አይነት ጥያቄዎች አልነበሩም።
ምንጭ: opennet.ru